Il peut prendre le contrôle d’un téléphone à l’aide d’un simple SMS. En août, le laboratoire de recherche canadien Citizen Lab et l’entreprise de cybersécurité Lookout ont révélé l’existence de Pegasus, un logiciel espion extrêmement sophistiqué, qui n’est pas conçu pour une surveillance de masse mais pour attaquer des cibles individuelles. Une découverte rare – il est difficile d’étudier des outils de surveillance qui, par définition, doivent passer inaperçus – et importante, qui témoigne d’une nouvelle étape dans la sophistication des logiciels espions vendus par des entreprises privées. « Il s’agit, en termes de magnitude, du logiciel malveillant le plus perfectionné ciblant les smartphones », expliquait au site Motherboard Mike Murray, chercheur en sécurité chez Lookout.

Particularité de Pegasus, ce logiciel a utilisé des failles de sécurité qui ont notamment permis de prendre le contrôle de téléphones de la marque Apple, entreprise pourtant réputée pour la sécurité de ses produits. Chercheur pour Lookout, Seth Hardy revient sur les spécificités de ce logiciel.

A quoi sert exactement Pegasus ?

Pegasus est un programme de surveillance qui permet de prendre, à distance, le contrôle total d’un téléphone et d’extraire des données à partir d’une multitude d’applications, mais aussi du microphone et de l’appareil photo. Une fois qu’un appareil est infecté par Pegasus, l’utilisateur du logiciel en a le plein contrôle.

Ce programme a été créé par NSO Group, une entreprise privée israélienne qui développe et vend des outils de surveillance à des gouvernements et à des agences de renseignement.

Pegasus est un logiciel conçu pour être facilement utilisable par les forces de l’ordre : selon de la documentation obtenue par le Citizen Lab, le logiciel permet d’un simple clic de voir où se trouve un appareil infecté ou d’allumer son microphone.

Capture d’écran de la documentation du logiciel Pegasus découverte lors du piratage de l’entreprise Hacking Team (concurrent de NSO Group) en 2015.

Comment le logiciel peut-il prendre le contrôle d’un téléphone à distance ?

La « cible » reçoit un lien vers une adresse Web, par SMS, par e-mail ou par n’importe quel autre moyen. Si elle clique dessus et l’ouvre dans le navigateur Safari depuis son iPhone, alors le logiciel contourne la sécurité du téléphone à l’aide d’un trio de « failles logicielles », que nous avons appelé « le Trident ». A partir de là, Pegasus s’installe sur le téléphone et en prend le contrôle de façon complètement invisible, sans que le possesseur de l’appareil puisse voir ce qui s’est passé.

Nous n’avions pas vu l’exploitation de telles failles de sécurité depuis cinq ou six ans. Il existe aujourd’hui des entreprises qui offrent un million de dollars, ou même davantage, à des chercheurs ou des hackeurs pour des failles de sécurité de cette envergure qu’ils auraient repérées. Ces entreprises les achètent soit pour les utiliser dans leurs logiciels espions, soit pour les revendre à des services de renseignement.

Comment avez-vous découvert l’existence et le fonctionnement de Pegasus ?

Grâce à un éminent militant des droits de l’homme émirati, Ahmed Mansour. Un gouvernement ou une organisation a tenté d’infecter et d’espionner à distance son téléphone avec Pegasus. Dans son cas, le lien vers le logiciel lui a été envoyé par un SMS [qui lui promettait des informations sur des tortures pratiquées dans les prisons des Emirats arabes unis]. Mais comme Ahmed Mansour avait déjà été la cible de plusieurs tentatives d’espionnage par le passé, il a repéré l’attaque et a contacté le Citizen Lab qui, avec l’aide de Lookout, a pu découvrir et remonter la trace de Pegasus.

Ahmed Mansour est présenté par le Citizen Lab comme « le dissident à un million de dollars », parce qu’il a été ciblé par Pegasus, mais aussi par deux autres logiciels espions : FinFisher et RCS. Ceux qui lui en veulent ne l’aiment vraiment pas et n’hésitent pas à dépenser de fortes sommes d’argent pour investir dans des logiciels et essayer de l’espionner ! La conséquence de tout ça, c’est qu’il sait repérer des attaques.

Les failles exploitées par Pegasus ont-elles été corrigées ?

Oui. Contacté et assisté par le Citizen Lab et Lookout – qui a réalisé un travail supplémentaire pour identifier plus précisément les failles de sécurité –, Apple a pu fournir en très peu de temps une mise à jour pour son système d’exploitation iOS.

Le logiciel est-il toujours utilisé malgré les correctifs apportés par Apple ?

Absolument. Fermer une porte d’entrée utilisée par Pegasus ne signe pas la fin d’une entreprise de la taille de NSO Group, qui s’est professionnalisée dans la vente de logiciels espions. Je suis sûr que des gens et des gouvernements utilisent toujours Pegasus aujourd’hui. [L’entreprise a pu découvrir de nouvelles failles ou élaborer de nouveaux moyens pour infecter les téléphones.]

Par ailleurs, nous sommes toujours en train de travailler dessus, je ne peux donc pas donner trop de détails, mais il existe bien une version de Pegasus qui cible les téléphones fonctionnant avec Android, le système d’exploitation de Google.

Sur Android, les fabricants et les télécoms n’envoient pas aussi fréquemment qu’ils le devraient les mises à jour de sécurité. Ainsi, des vulnérabilités bien plus vieilles peuvent fonctionner sur certains téléphones, quand bien même Google a envoyé des mises à jour.

Pegasus est-il utilisé en Europe ?

C’est une bonne question. NSO Group affirme avoir des clients dans le monde entier et peut vendre ses produits à tous les pays qui achètent des logiciels légaux d’interception et de surveillance. Cependant, en raison de la nature des cibles et des attaques, il est très difficile pour nous de trouver des copies du logiciel. Nous devons travailler directement avec des cibles afin d’avoir des preuves conclusives que Pegasus a été utilisé.

C’est uniquement parce qu’Ahmed Mansour a été suffisamment malin pour repérer la tentative d’attaque que nous avons pu en obtenir des échantillons. Les liens utilisés pour infecter une cible ne fonctionnent qu’une fois. Une fois qu’un téléphone est tombé dans le piège, personne d’autre ne peut utiliser le même lien pour récupérer le logiciel. On ne parle pas d’une application trouvable sur l’App Store, mais d’un outil qui a une capacité d’autodestruction, dans le cas où la personne qui surveille quelqu’un pense qu’elle peut être découverte.